Бойтесь стажеров
Дата: 14.03.2005Источник: ЭКСПЕРТ
О проблемах информзащиты "Эксперту" рассказывает один из ведущих специалистов отрасли профессор Ханнес Любек. Доктор Любек был ведущим консультантом по информационной безопасности на Олимпийских играх в Афинах, руководителем службы безопасности одного из банков Швейцарии, сейчас - специалист по стратегической безопасности компании Computer Associates.- О каких новых для компаний вызовах в области информационной безопасности можно сегодня говорить?
- Важнейшая задача, стоящая сегодня перед компаниями, - это консолидация разрозненных средств защиты в единую систему. Эта задача уже не предполагает добавления к защите новых функциональных возможностей, наоборот, речь идет об обеспечении контроля и управления уже имеющимися ресурсами.
Ханнес Любек
Раньше мы сначала дожидались атаки и только потом реагировали на нее. Сейчас реактивная защита, основанная на отслеживании процессов, уходит в прошлое, уступая место защите проактивной, основанной на идее предупреждения атак. Именно поэтому теперь мы говорим, что безопасность должна быть трансформирована из абстрактного понятия в реальные бизнес-процессы. Почему это так важно? Потому что если система безопасности не соответствует задачам и процессам бизнеса, то сотрудники всегда найдут способ ее обойти, а тогда ни о какой безопасности не может быть и речи.
- Означает ли это, что многочисленные разрозненные средства программной защиты исчезнут?
- Нет, боюсь, что утверждать так было бы ошибкой. Ведь когда вы ставите свой автомобиль на платную, охраняемую стоянку, вы же все равно закрываете его на ключ. Зачем? Ответ на этот вопрос и есть, по сути, аргумент в пользу существования независимых защитных программ.
- Вы говорите о важности проработки бизнес-процессов для информационной защиты компании. Не могли бы вы привести какой-то пример?
- Конечно. Когда я прихожу в новую компанию, первый вопрос, который я задаю: есть ли у вас стажеры? Чаще всего таковые находятся. Тогда я прошу показать мне их права доступа к информационной системе предприятия. Хитрость заключается в том, что стажеры очень часто мигрируют из отдела в отдел, сохраняя доступ к информации во всех департаментах, где они уже успели побывать. Так вот, в итоге выясняется, что у стажеров в компании самый обширный доступ к информационным базам. А потом может и вовсе оказаться, что доступ сохранен и для всех тех сотрудников, которые уже давно покинули организацию. Каждая такая "мертвая душа" в системе - это дыра в вашей защите.
- Последнее время повсюду появляются рассказы о том, как очередного хакера взяли работать в ту или иную крупную компанию в качестве консультанта. Можно ли считать это эффективным решением в области борьбы с кибер-преступностью, оправдывает ли себя такой подход?
- Здесь есть одна проблема. А можем ли мы хакеру полностью доверять? Любую информацию? Если вы берете на работу хакера, уже преступавшего закон, нужно быть уверенным в том, что он не перейдет на другую сторону снова, либо сделать такую возможность для него бесполезной.
Когда я руководил отделом безопасности в банке, мы использовали компании, где работали хакеры, в качестве консультантов, помогающих нам находить слабые стороны защиты. Однако такие тесты на проникновение - это палка о двух концах, ибо я не знаю, обо всех ли существующих уязвимых местах мне потом расскажут и не воспользуются ли информацией в своих интересах. Один из приемов, которые мы применяли, заключается в том, чтобы нанять две такие компании. И каждой из них сказать, что у нее есть неизвестный конкурент, перед которым стоит та же самая задача, чтобы мы потом могли сравнить результаты. Это не только мотивирует на результат, но и делает его более прозрачным.
- Но ведь не каждый может себе позволить так разбрасываться деньгами. Что делать небольшим компаниям?
- Аутсорсинг - это практически единственная возможность обеспечить надлежащий уровень безопасности для компаний среднего и малого бизнеса. Но здесь возникает проблема тесного, интерактивного взаимодействия между заказчиком и исполнителем. Судите сами: если мы организуем защиту вашей компании и у нас возникли в этом проблемы, нельзя сказать, что это только наши проблемы как исполнителя. Ведь бизнес-процессы-то все равно ваши, а значит, мы должны работать над ними вместе, иначе вы выбрасываете деньги на ветер.
- Чего, на ваш взгляд, стоит ждать от ближайшего будущего?
- В будущем нас ждет стремительный рост так называемых глупых атак - больше спама, больше вирусов, больше рекламы, потому что есть прямая связь между их количеством и ростом доступности интернета. С другой стороны, мы будем наблюдать рост как качества, так и количества "умных" атак, преследующих вполне определенные бизнес-цели. Благодаря умелому сочетанию технических и социальных средств проникновения такие атаки будут становиться все серьезнее. Не секрет, что почти две трети всех европейских замков были так хорошо укреплены, что никогда не были взяты приступом. И все же все когда-то были захвачены. По одной простой причине - из-за предательства. Именно для того, чтобы решить проблему человека, мы должны начать управлять защитой, вместо того чтобы позволять защите управлять нами.
| Добавить комментарий |
| 2005-06-09 08:25:28 - еще бы правила безопасности соблюдал хотя... bvg |
| 2005-05-11 07:02:49 - Очень интересная статья, полезная и к... Надежда (СПб) |
| Всего 2 комментариев |
